非常成功的Locky和Bart勒索活动背后攻击者有一个新的创造返回:所谓JAFF恶意文件加密程序,要求受害者为约3700 $的款项。
像Locky和巴特,JAFF通过由Necurs发送恶意垃圾邮件传播的僵尸网络,根据研究人员的Malwarebytes。Necurs最早出现于2012年,是当今周围规模最大,持续时间最长的僵尸网络之一。
据四月分析由IBM安全研究人员,Necurs是由600万受感染的计算机,并能够一次发送的邮件数以百万计的批次。它也是世界上网络犯罪的很大比例间接的责任,因为它是一些最严重的银行木马和勒索计划的主要销售渠道。
肯定地说,因为JAFF正在Necurs分布,它会打很多的邮箱。
这些电子邮件观察迄今尝试模仿由打印机所发送的电子邮件自动:主题行仅仅是的话复制,文档,扫描,文件或PDF,接着是随机数之一。
附件是PDF文件,称为nm.pdf具有嵌入到其Word文档。这第二个文件后面附加恶意宏和包含的指令,为用户允许代码执行。
如果宏允许运行,就会下载并安装JAFF勒索,立即开始加密相匹配的目标文件扩展名的长列表的文件。加密后,受影响的文件会得到一个.jaff扩展追加到它们。
该勒索软件还制作了以获得解密节目制作比特币付款指示两个文件。所述支付门户托管Tor网络上,并且是视觉上相同于由巴特勒索使用的门户,这表明这两个威胁之间的关系。
虽然有一些相似之处Locky和巴特,所述JAFF勒索使用不同代码的基础上,所以它是一个独立的程序,根据研究人员的Malwarebytes。
另一个有趣的方面是2个比特币,或围绕3700 $,比其他大多数勒索程序要求显著较高的赎金金额。
用户应始终是可疑的电子邮件发送给他们不请自来的文件,并应决不允许内部文件的活动内容执行,除非能够验证其来源。针对勒索最好的保护是已具备了良好的备份程序,使副本,这不是总是连接到计算机的外部存储设备。